`제 문자 메시지에 언급됐던 여성분들께도 어찌 사죄를 드려야 할지, 사죄가 될 수 있을지 모를 정도가 됐습니다.`
최근 쓰고 있는 갤럭시 스마트폰으로 지인과 주고 받은 문자 메시지가 공개돼 논란을 빚었던 배우 주진모의 해명이다.
포털 사이트 실시간 검색어에는 아직도 주진모 이름은 물론, 관련 인물들까지 나란히 오르며 논란이 가시지 않고 있다. 이후 유명 요리사 최현석의 갤럭시 스마트폰 역시 해킹 당한 사실이 뒤늦게 알려졌다.
해커들은 최현석의 사생활을 빌미로 협상에 응하지 않으면 동영상을 유포하겠다고 협박한 것으로 파악된다. 이들 피해자 모두 삼성전자 스마트폰을 사용했다. 유독 삼성전자의 갤럭시 스마트폰을 쓰는 연예인들의 해킹 피해가 늘고 있는데, 정말 갤럭시 스마트폰의 문제일까.
삼성전자 갤럭시 스마폰을 쓰는 연예인 피해자가 여럿이라는 사실이 알려지자, 삼성전자의 인터넷 서버 자체가 해킹된 것 아니냐는 의혹이 일고 있다. 분실이나 파손에 대비해 사진이나 연락처, 문자 메시지 등을 저장하는 삼성 `클라우드` 서비스의 보안에 문제가 있다는 것이다.
논란이 커지자 삼성전자는 곧장 자사의 `클라우드` 서비스의 해킹은 없었다는 공식 입장을 내놨다. 클라우드 해킹이 아니라 피해자 스마트폰 해킹 등으로 정보가 유출됐을 것이라는 설명이다. 얼마 전 삼성전자의 스마트폰인 갤럭시S10과 갤럭시노트10의 지문 인식이 특정 실리콘 케이스를 씌우면 무력화 되는 허점으로 보안 논란이 일었던 만큼, 이번에는 발빠르게 대응해 논란을 잠재우는 모습이다.
실제로 스마트폰이 해킹 당할 수 있는 경로는 다양하다.
최근 몇년 간 흔히 쓰인 방법은 피해자가 모르게 악성코드를 다운 받도록 하는 `스미싱` 수법이다.
가령 웹 페이지를 통해 유료 앱을 무료로 다운 받을 수 있다고 속여 악성코드가 든 가짜 앱을 설치하도록 하는 방식이다. 또 택배 주소를 확인하라며 사이트에 접속해 앱을 내려받게 하거나 개인정보를 입력하라고 유도하는 수법도 있다.
이렇게 설치된 악성 앱이 각종 계정 정보를 탈취하는 역할을 하게 된다. 악성코드를 통해 `좀비 휴대폰`을 만들어 다른 휴대폰을 공격하는데 악용될 수도 있다. 아예 유심칩을 복사해 `쌍둥이 휴대폰`을 만드는 경우도 있다. 이렇게 되면 완전히 똑같은 휴대폰이 하나 더 생기는 셈이다. 문자를 주고 받는 내역까지 실시간으로 해커가 일일이 알 수 있게 된다.
클라우드에 대한 해킹 사례도 있다.
최근 스마트폰에 저장된 각종 데이터를 클라우드에 보관하는 경우가 늘고 있는 까닭이다. 클라우드와 스마트폰을 연동하면 평소 자신의 스마트폰 사용 기록, 메시지, 사진 및 동영상 파일 등이 클라우드에 자동으로 올라간다. 클라우드에서 스마트폰 자체를 백업할 수 있기 때문에 스마트폰을 바꿨을 때도 이전과 동일하게 사용할 수 있는 것이다.
이는 곧 클라우드의 계정과 암호가 유출되면 클라우드에 있는 모든 정보가 유출될 수도 있다는 것을 의미한다. 클라우드 서버 자체가 해킹된 게 아니라면 사용자의 개인정보만 알아내면 되기 때문이다.
계정 탈취에 쓰이는 방법도 다양하다. 비밀번호를 무작위로 대입해 찾거나, 피싱 사이트를 이용해 계정과 비밀번호를 얻는 수법 등이 주로 쓰인다. 특이 안드로이드 운영체제는 허가되지 않은 앱스토어가 많고 보안 검사에 취약한 만큼 악성코드가 쉽게 설치될 수 있다는 게 전문가들의 의견이다.
다만 보안 전문가들은 이번 연예인 피해 사례를 두고 클라우드 서버 자체를 해킹했을 가능성은 낮다고 말한다.
보안 전문 인력이 강도 높게 점검하는 상황에서 클라우드에 관련된 개인 정보만 제대로 관리하면 클라우드 해킹은 우려하지 않아도 된다는 설명이다. 삼성전자가 지난 10일 공식 입장을 낸 것도 "클라우드 서버 자체는 안전하다"고 강조하기 위해서다. 삼성전자의 클라우드 서버가 해킹된 것이 아니라 클라우드를 사용하는 아이디나 비밀번호가 제3 자에게 노출됐고, 타인이 공기계에서 피해자의 클라우드 계정에 로그인 해 개인 정보가 외부로 유출됐을 가능성이 크다는 것이다.
삼성전자 내부 확인 결과, 문제가 된 클라우드 계정들이 해킹을 당한 흔적은 없었다고 한다. 이에 배우 주진모 등 국내 유명 연예인 다수가 해커로부터 "당신 스마트폰에 담겼던 정보를 퍼뜨리겠다"는 협박을 받아 경찰이 수사에 착수한 상태다.
일각에서는 애플의 아이 클라우드를 썼다면 해킹 당하지 않았을 것이라고 주장한다. 애플의 아이폰이 갤럭시보다 해킹에 더 안전하다는 것이다.
피해자들이 아이 클라우드를 썼다면 개인정보가 무분별하게 유출되지 않았을 가능성이 있다. 삼성과 다르게 아이 클라우드는 3개 인증 절차를 반드시 거쳐야 클라우드 계정으로 로그인하고, 클라우드 속 정보를 확인할 수 있기 때문이다.
해커가 피해자의 아이디나 비밀번호 같은 아이 클라우드 계정을 알았다고 하더라도 여러 번 인증 절차를 밟아야 한다.
우선 다른 아이폰에 로그인을 하더라도 피해자가 원래 사용하는 아이폰으로 전송된 보안 코드를 추가로 입력해야 하고, 원래 사용한 아이폰에서 쓰던 잠금 비밀번호도 입력해야 한다. 애플이 보안을 강화한 것은 지난 2014년 아이 클라우드 계정 해킹을 통해 헐리우드 유명 배우나 가수의 사생활 사진이 유출되면서 큰 파장이 일었기 때문이다.
삼성도 애플과 비슷한 인증 시스템을 갖췄지만 모든 갤럭시 기종에 적용된 것은 아니다.
더 큰 문제는 소비자들이 이 기능을 모르는 경우가 많다는 것이다. 삼성에서 제공하는 2단계 인증 기능을 쓰려면 클라우드 설정에 들어가서 활성화 버튼을 눌러야 한다. 갤럭시 스마트폰에서 `휴대폰 설정`, `삼성 계정`, `비밀번호 및 보안` 메뉴를 거쳐 활성화만 하면 쉽게 설정할 수 있다. 2단계 설정을 완료하면 사용자가 주로 사용하는 IP 주소와 다를 경우 추가로 인증을 요구한다.
아이디와 비밀번호를 입력한 이후에 추가로 번호를 입력해야 로그인이 가능하게 한 시스템이다. 이처럼 애플과 삼성 양사 모두 다단계 인증은 존재하지만 삼성은 선택적, 애플은 강제적이라는 점이 큰 차이다. 전문가들은 보안 관리를 위해서 다단계 인증을 포함해 사용자들이 클라우드 계정 정보를 안전하게 관리하고, 클라우드에 백업한 항목들을 정확하게 관리할 필요가 있다고 지적한다.
흔히 보안에는 왕도가 없다고 말한다.
촘촘한 보안 기술이 나와도 언젠가는 그 보안 기술을 뛰어 넘는 해커가 생기기 마련이다. 하지만 보안을 위해서 스마트폰을 이용하는 사용자의 최소한의 조치는 필요하다. 삼성전자는 "선의의 피해자가 발생하지 않도록 이미 조치를 취했으나 안전한 이용을 위해 이중 보안을 설정해 달라"고 당부했다.
또 보안 전문가들은 비밀 번호는 길고 강력하게 설정해 주기적으로 변경할 것을 조언했다. 웹 사이트를 찾을 때도 URL 대신 잘 알려진 포털 사이트를 통해 검색한 이후 접속하는 것이 해킹 방지에 도움이 된다고 말했다.
여기에 보안 소프트웨어를 사용하고, 각종 소프트웨어는 주기적으로 업데이트 하는 것이 좋다고 강조했다. 서비스 회사 역시 자사가 제공하는 보안 방식을 적극 홍보하고 사용자가 이를 따르도록 하는 것이 필요하다. 스마트폰 해킹은 비단 유명 연예인만의 일이 아니다. 당신의 스마트폰도 안전하지만은 않다.
관련뉴스
